病毒周报(100524至100530)

动物家园计算机安全咨询中心（ www.kingzoo.com ）反病毒斗士报：

“感染者”（Worm.Win32.Allaple.e[Net]） 威胁级别：★★

    该病毒为蠕虫类病毒，病毒运行后调用API函数设置隐藏内存报错窗口，获取自身模块句柄动态加载“icmp.dll”系统库文件并获取多个API函数，创建互斥体防止病毒多次运行，创建多个线程，获取磁盘驱动器信息，判断磁盘类型是否是3，如果是3则分配一块内存并将磁盘驱动器名保存到分配的buffer中，接着创建一个线程将线程优先级设置为2，然后每隔1秒遍历一次保存在buffer中的磁盘下的所有文件，判断文件的后缀名是否为.htm和.html，找到之后将文件属性设置为存档，比较找到的.htm文件起始代码的第68个字节是否是和指定的代码相同，如果相同则调用，如果不同则说明没有被感染，则会将这68字节数据写入到.htm文件的文件头中，并将病毒自身随机拷贝为病毒名文件到找到的.htm文件的所在目录下，伪装成ActiveX组件，添加注册表病毒CLSID值启动项，该病毒文件利用windows漏洞传播自身，试图连接多个网站，溢出成功之后并试图尝试使用弱口令登陆目标计算机。

“IE劫持器”（Trojan/Win32.Agent.dxmg[Dropper]） 威胁级别：★★

    该恶意代码文件为恶意广告类木马，病毒运行后修改注册表项隐藏桌面IE浏览器，并添加多处注册表项新建IE快捷方式，使打开IE连接到指定广告网站，创建多个病毒VBS脚本文件到系统目录下，在桌面创建多个URL快捷方式，强行安装世界之窗软件，以非法推广手段获取谋利。

“大话窃贼”（Trojan/Win32.Win32.WOW.zan[GameThief]） 威胁级别：★★

    该恶意代码文件为大话西游2盗号木马，病毒运行后判断进程查找xy2.exe进程，找到之后强行结束该进程，打开注册表的ShellNoRoam\MUICache项枚举该键值下的所有值是否有\xy2.ex，如果找到之后则将%System32%目录下的ksuser.DLL文件拷贝一份命名为xy2woool.dll，衍生病毒DLL文件到病毒原体所在目录下，命名为xy2color.dll、xy2ksuser.dll并将文件属性设置为隐藏，遍历进程查找avp.exe、KVMonXP.exe，如果存在以上任意一个进程则衍生病毒DLL文件到临时目录下命名为dd2.dll，调用CMD命令使用rundll32.exe启动衍生的DLL文件，如果找不到则衍生随机病毒名DLL文件到%Temp%目录下并将文件属性设置为隐藏，试图将DLL注入到所有进程中，设置全局钩子截取游戏账号密码通过URL发送到作者指定的地址中。

动物家园计算机安全咨询中心反病毒工程师建议：

   1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。  
   2、别轻易打开陌生人邮件及邮件附件、连接等。
   3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。
   4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。
   5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询